27.06.2022
Lesedauer: 4 Minuten

Azure Information Protection – AIP

In diesem Artikel
    Getrieben durch den Sicherheitsanspruch der Kunden bei der Speicherung von Dateien in der Azure Cloud stellt Microsoft einen Schutzmechanismus – Azure Information Protection (AIP) – zur Verfügung. Derartig geschützte Dateien finden sich zunehmend auch im SAP DVS unserer Kunden, führen dort zu Konvertierungs­fehlern oder können per PLOSSYS® nicht gedruckt werden. Microsoft Information Protection (MIP) ist AIP sehr ähnlich. Dieser Artikel beschreibt, was wir bislang über AIP und MIP wissen und wie unsere Lösungskonzepte aussehen.

    Theorie …

    Mit AIP (im Weiteren auch als Synonym für MIP verwendet) wird eine Office Datei proprietär verschlüsselt. Es handelt sich hier also nicht um ein bekanntes kryptographisches Verfahren mit Zertifikaten. Zur Entschlüsselung steht ein SDK von Microsoft zur Verfügung und auch ein Client (Unified Labeling Client) zu einem Microsoft Server.

    Für die Speicherung des verschlüsselten Inhalts und den Begleit­informationen wird das bekannte Structured Storage Format verwendet (https://en.wikipedia.org/wiki/COM_Structured_Storage). Aus einem nicht-verschlüsselten Teil dieser Daten kann man XML-Dateien entnehmen, welche Zusatz­informationen die betreffende Datei hat, wie zum Beispiel den Geheimhaltungs­grad, zum Beispiel „intern“, „streng geheim“, … Das Lesen dieser Begleit­­informationen kann per Microsoft SDK oder im Klartext erfolgen. Firmen, die dieses System nutzen, können sogar eigene Geheimhaltungs­grade definieren, zusammen mit den entsprechenden Texten in unterschiedlichen Sprachen. Die Sprachen werden über genormte IDs angesprochen. Die Begleit­informationen sind dank XML auch gut maschinen­lesbar und können für automatisierte Reaktionen auf die Geheimhaltungs­grade verwendet werden.

    Die Kennzeichnung mit einem Geheimhaltungsgrad nennt Microsoft „Labeling“.

    Microsoft unterstützt mit seinem AIP SDK auch die Verschlüsselung von PDF-Dateien. Wird eine solche PDF-Datei im Acrobat Reader geöffnet, so ist lediglich ein entsprechender Hinweistext zu sehen, dass die Datei verschlüsselt ist und man ein entsprechendes Zusatz-AddIn von Microsoft in den Acrobat Reader installieren möge. Dieser sichtbare Zusatz­text ist der Inhalt eines zusätzlich erzeugten Hüllen-PDFs. Die ursprüngliche, jetzt verschlüsselte PDF-Datei hängt als Attachment an diesem Hüllen-PDF.

    Einige Bildformate werden von AIP ebenfalls unterstützt.

    Die Ver- und Entschlüsselung erfolgt benutzerspezifisch. Es gibt auch einen bevorrechteten Super-User (System-User).

    … und Praxis

    Der Anwender merkt normalerweise nichts davon, dass er mit verschlüsselten Dokumenten arbeitet. Er kann wie gewohnt eine Datei anklicken und sie wird in der zugeordneten Applikation geöffnet.

    Im Hintergrund baut die Applikation eine Verbindung zum AIP Server auf und prüft die Berechtigung des Anwenders. Nur wenn die Berechtigungen fehlen, wird eine entsprechende Meldung angezeigt.

    In der Applikation selbst wird ein zusätzliches Menü angezeigt, mit dem die „Labels“ verwaltet werden können.

    Unser Lösungskonzept

    AIP ist neu. Wir stehen noch am Anfang der Entwicklung von geeigneten Tools und Lösungen zum Umgang mit AIP-geschützten Dateien.

    Es gibt ein Modul zum Auslesen der Label-Informationen. Dieses Modul kann zum Beispiel im Kontext Konvertierungs­server dazu dienen, einen dedizierten Fehler an das beauftragende System zurück­zuliefern. Die Quell-Applikation muss dann damit umgehen können. Dieses Modul ist für unseren Konvertierungsserver im SAP-Umfeld vorgesehen.

    Ein automatisches Entschlüsseln für die Konvertierung ist derzeit noch nicht vorhanden. Hier warten wir noch auf Feedback, wie unsere Kunden diesbezüglich ihre Sicherheitskonzepte aufbauen wollen.

    Die Ausgabe von geschützten Dateien per PLOSSYS® kann projektspezifisch umgesetzt werden. Dazu muss der Ausgabe­auftrag mit einem System-User versehen und auf dem PLOSSYS® Server der „Unified Labeling Client“ installiert sein. Diese Entschlüsselung bei der Ausgabe hat noch Projekt-Charakter. Es gibt noch zu wenig Erfahrung mit der Stabilität einer solchen Lösung. Wir sind hier von Änderungen durch Microsoft betroffen, die es in der jüngsten Vergangenheit auch gab.

    Weitere Lösungen werden folgen. Gerne reagieren wir hier auf Anforderungen unserer Kunden.

    Besondere Umgebungen

    Wir stehen auf dem Standpunkt, dass im SAP-Umfeld das Berechtigungskonzept von SAP dafür zuständig ist, um Originale im SAP DVS hinreichend zu schützen. Ein zusätzlicher Dateischutz würde auch PDF/A widersprechen. Außerhalb SAP DVS, zum Beispiel nach Download etc. mag ein zusätzlicher Dokumentschutz angebracht sein. Mit unseren Erfahrungen aus früheren Projekten mit anderen DRM-Systemen sind wir in der Lage eine AIP-Verschlüsselung in SAP so zu integrieren, dass alle schützenswerten Dateien bei der Ausleitung aus SAP verschlüsselt werden.

    In einem realen Kundenfall wurden über einen SEAL Office Konverter unbemerkt aus geschützten Office Dateien ungeschützte PDF erzeugt. Die Konvertierungsaufträge wurden im Kontext eines Super-User abgeschickt und kundenseitig war der Unified Labeling Client auf dem Konvertierungsserver installiert. Die Office Installation hat dabei auf dem Konvertierungsserver das getan, was sie auf einem Client auch getan hätte: sie hat sich die Erlaubnis zur Entschlüsselung per Labeling Client geholt.